文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

JDBC中PreparedStatement详解及应用场景介绍

2023-09-22 12:23

关注

前言

在Java中,当需要向数据库中执行SQL语句并传递参数时,我们通常会使用PreparedStatement接口。PreparedStatement继承自Statement接口,用于预编译SQL语句并执行参数化查询,这样可以提高执行效率并防止SQL注入攻击。

1、PreparedStatement介绍

PreparedStatement是Java JDBC API的一部分,它提供了一种更有效率和安全的方式来向SQL语句传递参数。PreparedStatement允许我们执行带有动态参数的SQL语句,这些参数可以在执行SQL语句之前预编译,从而提高执行效率。PreparedStatement对象可以通过Connection对象创建,并接受一条SQL语句作为参数。

PreparedStatement接口中定义了一系列用于设置参数的方法,包括setInt、setString、setDate等等,这些方法用于指定预编译的SQL语句中的参数值。PreparedStatement还提供了一种用于执行查询的方法executeQuery(),以及用于执行非查询的方法executeUpdate()。

2、与Statement相比,PreparedStatement有以下优点:

1.更高的执行效率

当需要执行多次相同的SQL语句时,PreparedStatement能够将SQL语句预编译,从而提高执行效率。PreparedStatement对象在创建时,会将SQL语句编译成一种可重用的二进制格式,当调用execute()方法时,直接传递参数即可执行SQL语句,这比Statement每次都需要解析SQL语句要更加高效。

2.防止SQL注入攻击

使用Statement执行动态SQL语句时,需要将参数值拼接到SQL语句中,这样容易受到SQL注入攻击。而PreparedStatement通过参数化查询的方式,将参数值作为参数传递给SQL语句,从而避免了SQL注入攻击。

3.增加了代码的可读性

PreparedStatement的代码更加简洁明了,可以使代码更易于理解和维护。

3、PreparedStatement的应用场景

PreparedStatement适用于执行需要传递参数的SQL语句,特别是当需要执行多次相同的SQL语句时,PreparedStatement能够大大提高执行效率。下面是PreparedStatement的一些常见应用场景: 

 通用的增、删、改操作,可以直接调用此方法 

public void update(String sql,Object ... args){Connection conn = null;PreparedStatement ps = null;try {//1.获取数据库的连接conn = JDBCUtils.getConnection();//2.获取PreparedStatement的实例 (或:预编译sql语句)ps = conn.prepareStatement(sql);//3.填充占位符for(int i = 0;i < args.length;i++){ps.setObject(i + 1, args[i]);}//4.执行sql语句ps.execute();} catch (Exception e) {e.printStackTrace();}finally{//5.关闭资源JDBCUtils.closeResource(conn, ps);}}

1)增加表数据:

String sql = "update students set grade = ? where id = ?";update(sql,4,90);

   2)更新表数据:

String sql = "update students set grade = ? where id = ?";update(sql,4,90);

 3) 删除表数据:

String sql = "delete from students where id = ?";update(sql,4);

4、使用PreparedStatement实现查询操作

        首先我们需要学习一种思想:

ORM思想(object relational mapping)
        一个数据表对应一个java类
        表中的一条记录对应java类的一个对象
        表中的一个字段对应java类的一个属性

 我们首先新建一个students类,内容如下:

public class Students {    private int id;    private String name;    private int grade;     public Students() {    }     public Students(int id, String name, int grade) {        this.id = id;        this.name = name;        this.grade = grade;    }     public int getId() {        return id;    }     public void setId(int id) {        this.id = id;    }     public String getName() {        return name;    }     public void setName(String name) {        this.name = name;    }     public int getGrade() {        return grade;    }     public void setGrade(int grade) {        this.grade = grade;    }     @Override    public String toString() {        return id+","+name+","+grade;    }}

 1)单条数据的查询

// 通用的针对于不同表的查询:返回一个对象 (version 1.0)public  T getInstance(Class clazz, String sql, Object... args) { Connection conn = null;PreparedStatement ps = null;ResultSet rs = null;try {// 1.获取数据库连接conn = JDBCUtils.getConnection(); // 2.预编译sql语句,得到PreparedStatement对象ps = conn.prepareStatement(sql); // 3.填充占位符for (int i = 0; i < args.length; i++) {ps.setObject(i + 1, args[i]);} // 4.执行executeQuery(),得到结果集:ResultSetrs = ps.executeQuery(); // 5.得到结果集的元数据:ResultSetMetaDataResultSetMetaData rsmd = rs.getMetaData(); // 6.1通过ResultSetMetaData得到columnCount,columnLabel;通过ResultSet得到列值int columnCount = rsmd.getColumnCount();if (rs.next()) {T t = clazz.newInstance();for (int i = 0; i < columnCount; i++) {// 遍历每一个列 // 获取列值Object columnVal = rs.getObject(i + 1);// 获取列的别名:列的别名,使用类的属性名充当String columnLabel = rsmd.getColumnLabel(i + 1);// 6.2使用反射,给对象的相应属性赋值Field field = clazz.getDeclaredField(columnLabel);field.setAccessible(true);field.set(t, columnVal); }return t;}} catch (Exception e) {e.printStackTrace();} finally {// 7.关闭资源JDBCUtils.closeResource(conn, ps, rs);}return null;}

  调用上面的方法,实现查询单条记录:

String sql = "select * from students where id = ?";Students s = getInstance(Students.class,sql,3);System.out.println(s);

 2)多条数据的查询

public  List getForList(Class clazz, String sql, Object... args){        Connection conn = null;        PreparedStatement ps = null;        ResultSet rs = null;        try {            //1.获取数据库连接            conn = JDBCUtils.getConnection();            //2.预编译sql语句,得到preparedStatement对象            ps = conn.prepareStatement(sql);            //3.填充占位符            for (int i = 0; i < args.length; i++) {                ps.setObject(i+1,args[i]);            }            //4.执行executeQuery(),得到结果集:resultset            rs = ps.executeQuery();            //5.获取结果集的元数据ResultSetMetaData            ResultSetMetaData rsmd =  rs.getMetaData();            //6.通过获取ResultSetMetaData结果集的列数            int columnCount = rsmd.getColumnCount();            //7.创建集合对象            ArrayList list = new ArrayList();             while (rs.next()){                T t = clazz.newInstance();                //处理结果集一行数据中的每一个列                for (int i = 0; i < columnCount; i++) {                    Object value = rs.getObject(i+1);                     //获取每个列的别名getColumnLabel---针对于表的字段名和类的属性名不同                    String columnName = rsmd.getColumnLabel(i+1);                     //给s对象指定的某个属性,赋值为value                    Field field = clazz.getDeclaredField(columnName);                    field.setAccessible(true);                    field.set(t,value);                }                list.add(t);            }            return list;        } catch (Exception e) {            e.printStackTrace();        }finally {            JDBCUtils.closeResource(conn,ps,rs);        }        return null;    }

调用上面的方法,实现查询多条记录:

String sql = "select * from students";List list = getForList(Students.class,sql);list.forEach(System.out::println);

PreparedStatement的注意事项

1.SQL注入攻击

虽然PreparedStatement可以有效地防止SQL注入攻击,但是在设置参数时也要注意一些细节。例如,在使用setString()方法设置字符串类型的参数时,应该使用单引号将字符串括起来。否则,可能会造成SQL语句语法错误。

PreparedStatement pstmt = conn.prepareStatement("SELECT * FROM users WHERE username = ?"); pstmt.setString(1, "张三"); //正确方式 pstmt.setString(1, 张三); //错误方式

2.资源的释放

与Statement一样,使用完PreparedStatement对象后,我们也需要手动关闭对象以释放资源,防止资源泄露。

关闭PreparedStatement对象可以调用PreparedStatement对象的close()方法。

下面是一个使用PreparedStatement的示例代码:

public void queryUsersByName(String name) throws SQLException {    Connection conn = null;    PreparedStatement pstmt = null;    ResultSet rs = null;    try {        conn = getConnection();        String sql = "SELECT * FROM users WHERE name = ?";        pstmt = conn.prepareStatement(sql);        pstmt.setString(1, name);        rs = pstmt.executeQuery();        while (rs.next()) {            // 处理结果集        }    } finally {        // 释放资源        if (rs != null) {            rs.close();        }        if (pstmt != null) {            pstmt.close();        }        if (conn != null) {            conn.close();        }    }}

在finally块中,我们按照ResultSet、PreparedStatement、Connection的顺序关闭对象。使用try-finally块可以确保即使在处理过程中出现异常,也能够及时关闭对象以释放资源。

3.批处理操作

批处理是指一次向数据库发送多条 SQL 语句进行执行的操作,可以有效提高数据库操作效率。在使用 Statement 执行批处理时,需要在 SQL 语句中使用分号(;)来分隔多个 SQL 语句,但是在使用 PreparedStatement 执行批处理时,只需要在多次调用 addBatch() 方法时,传入不同的 SQL 语句即可。

以下是一个 PreparedStatement 批处理的示例:

String sql = "INSERT INTO users(name, age) VALUES(?,?)";PreparedStatement ps = conn.prepareStatement(sql);for(int i=0; i<10; i++){    ps.setString(1, "user"+i);    ps.setInt(2, i);    ps.addBatch();}int[] result = ps.executeBatch();
4.数据库事务

事务是指一组操作,要么全部执行成功,要么全部执行失败。在数据库操作中,事务通常用于保证数据的一致性和完整性,一旦某个操作失败,整个事务将回滚到最初状态,所有操作都将失效。

在使用 PreparedStatement 进行数据库操作时,可以结合事务来保证数据的一致性和完整性。在 JDBC 中,事务的使用可以通过 Connection 对象来实现,其核心方法如下:

  • setAutoCommit(boolean autoCommit): 设置是否自动提交事务,默认值为 true,即自动提交。
  • commit(): 手动提交事务。
  • rollback(): 回滚事务。

以下是一个 PreparedStatement 结合事务的示例:

Connection conn = null;PreparedStatement ps = null;try{    conn = getConnection();    // 关闭自动提交,开启事务    conn.setAutoCommit(false);    String sql = "INSERT INTO users(name, age) VALUES(?,?)";    ps = conn.prepareStatement(sql);    ps.setString(1, "user1");    ps.setInt(2, 20);    ps.executeUpdate();    ps.setString(1, "user2");    ps.setInt(2, 30);    ps.executeUpdate();    // 手动提交事务    conn.commit();}catch(SQLException e){    // 回滚事务    if(conn != null){        try{            conn.rollback();        }catch(SQLException ex){            ex.printStackTrace();        }    }    e.printStackTrace();}finally{    JdbcUtils.release(conn, ps, null);}

总结

PreparedStatement 是一种高效、安全、易用的数据库操作方式,具有多种优点,如可防止 SQL 注入攻击、支持参数化查询、可以重复使用等。在实际开发中,建议优先选择使用 PreparedStatement 进行数据库操作。

如果还有其他问题或需要进一步了解 PreparedStatement,可以查阅 JDK API 文档或者其他相关资料。

来源地址:https://blog.csdn.net/weixin_62079735/article/details/129664224

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-数据库
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯